CVE-2025-4404
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 76 - wyżej niż 76% wszystkich znanych CVE
Streszczenie
W projekcie FreeIPA odkryto podatność umożliwiającą eskalację uprawnień z hosta do domeny. Brak walidacji unikalności atrybutu `krbCanonicalName` dla konta administratora pozwala na utworzenie usługi o tej samej nazwie kanonicznej co admin REALM. Udany atak umożliwia uzyskanie biletu Kerberosa z poświadczeniami admin@REALM.
Ocena ryzyka
Atakujący może przejąć pełną kontrolę nad domeną FreeIPA, wykonując zadania administracyjne, co prowadzi do dostępu do wrażliwych danych i ich wycieku.
Rekomendacja
Należy niezwłocznie zaktualizować FreeIPA do wersji zawierającej poprawkę usuwającą tę podatność. Jako tymczasowe zabezpieczenie można ręcznie zweryfikować unikalność `krbCanonicalName` dla kont administratora.
Oryginalny opis (angielski, źródło NVD)
A privilege escalation from host to domain vulnerability was found in the FreeIPA project. The FreeIPA package fails to validate the uniqueness of the `krbCanonicalName` for the admin account by default, allowing users to create services with the same canonical name as the REALM admin. When a successful attack happens, the user can retrieve a Kerberos ticket in the name of this service, containing the admin@REALM credential. This flaw allows an attacker to perform administrative tasks over the REALM, leading to access to sensitive data and sensitive data exfiltration.

